硬件管理接口的制作方法
【技術(shù)領(lǐng)域】
[0001]概括的說(shuō),本公開(kāi)內(nèi)容涉及計(jì)算機(jī)管理的領(lǐng)域��,并且更具體的說(shuō)�����,涉及基于硬件的計(jì)算機(jī)管理。
【背景技術(shù)】
[0002]現(xiàn)代企業(yè)和網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)管理可以包括使用工具和技術(shù)以及用于發(fā)現(xiàn)網(wǎng)絡(luò)中各個(gè)子系統(tǒng)的屬性的工具?��?梢岳缤ㄟ^(guò)針對(duì)網(wǎng)絡(luò)中的設(shè)備來(lái)分配和實(shí)施安全策略���,來(lái)執(zhí)行安全任務(wù)和管理����。例如,可以基于設(shè)備的已知屬性向特定的設(shè)備分配策略�。此外�,獲得對(duì)網(wǎng)絡(luò)中的各種設(shè)備的訪問(wèn)和/或與網(wǎng)絡(luò)中的各種設(shè)備進(jìn)行通信可以包括基于軟件的工具被配置成使各種數(shù)據(jù)能夠在不同的操作系統(tǒng)和設(shè)備之間進(jìn)行傳送���。此外�����,可以將基于軟件的代理安裝在系統(tǒng)內(nèi)的各種設(shè)備上�,以向管理員提供檢查、控制和執(zhí)行設(shè)備上的任務(wù)(包括安全相關(guān)的任務(wù))的能力��。傳統(tǒng)地�,基于軟件的代理通過(guò)主機(jī)設(shè)備的操作系統(tǒng)來(lái)安裝����,且當(dāng)代理是活動(dòng)的時(shí)����,操作系統(tǒng)被啟動(dòng)�����,并且能夠通過(guò)所述代理與利用并執(zhí)行任務(wù)的管理服務(wù)進(jìn)行通信�。在這樣的實(shí)例中��,主機(jī)設(shè)備的管理可以被認(rèn)為是基于主機(jī)設(shè)備的操作系統(tǒng)的存在(和可操作性)和/或所安裝的代理的存在和可操作性(和安全性)���。
【附圖說(shuō)明】
[0003]圖1是根據(jù)至少一個(gè)實(shí)施例的示例性計(jì)算系統(tǒng)的簡(jiǎn)化示意圖�����,其包括具有基于硬件的管理控制器的系統(tǒng)設(shè)備;
[0004]圖2是根據(jù)至少一個(gè)實(shí)施例的示例性計(jì)算系統(tǒng)的簡(jiǎn)化框圖�����,其包括適于與該系統(tǒng)中的一個(gè)或多個(gè)系統(tǒng)設(shè)備上的基于硬件的管理控制器對(duì)接以及使用該管理控制器的示例性管理系統(tǒng)���;
[0005]圖3是根據(jù)至少一個(gè)實(shí)施例的示例性系統(tǒng)設(shè)備芯片集的簡(jiǎn)化框圖����,其包括示例性的基于硬件的管理控制器;
[0006]圖4A-4E是根據(jù)至少一個(gè)實(shí)施例示出了示例性操作的簡(jiǎn)化框圖�,其包括具有基于硬件的管理控制器的示例性安全管理系統(tǒng)和一個(gè)或多個(gè)系統(tǒng)設(shè)備�;
[0007]圖5A-5E是根據(jù)至少一個(gè)實(shí)施例示出了示例性操作的簡(jiǎn)化框圖����,其包括具有基于硬件的管理控制器的示例性設(shè)備管理系統(tǒng)和一個(gè)或多個(gè)系統(tǒng)設(shè)備�����;
[0008]圖6A-6B是根據(jù)至少一個(gè)實(shí)施例示出了用于管理具有基于硬件的管理控制器的一個(gè)或多個(gè)系統(tǒng)設(shè)備的示例性技術(shù)的簡(jiǎn)化流程圖�����。
[0009]在各個(gè)附圖中����,相同的附圖標(biāo)記和名稱(chēng)指示相同的元件。
【具體實(shí)施方式】
[0010]圖1是示出了示例性計(jì)算系統(tǒng)100的簡(jiǎn)化框圖,該系統(tǒng)100包括系統(tǒng)設(shè)備105�,該系統(tǒng)設(shè)備105具有計(jì)算處理器和基于硬件的管理控制器����,所述管理控制器允許管理系統(tǒng)和服務(wù)在帶外并且獨(dú)立于系統(tǒng)設(shè)備105的操作系統(tǒng)來(lái)與系統(tǒng)設(shè)備105通信��。此外,系統(tǒng)設(shè)備105可以包括用于通過(guò)一個(gè)或多個(gè)通信網(wǎng)絡(luò)110���、115的信道進(jìn)行通信的能力����。在一個(gè)示例中���,一些網(wǎng)絡(luò)可以包括專(zhuān)用的或個(gè)人的計(jì)算設(shè)備的個(gè)人網(wǎng)絡(luò)��,例如在專(zhuān)用網(wǎng)110中�,包括系統(tǒng)設(shè)備的陣列���,所述系統(tǒng)設(shè)備包括計(jì)算機(jī)處理設(shè)備,例如智能電視120��、車(chē)載計(jì)算機(jī)125��、智能電話130��、智能裝置(例如����,140)、以及其他計(jì)算設(shè)備和其他的至少部分計(jì)算機(jī)控制的或輔助的裝置和設(shè)備����。在一些實(shí)例中���,例如當(dāng)系統(tǒng)設(shè)備105位于家里或?qū)S镁W(wǎng)所位于的或可訪問(wèn)的其他位置(例如�����,專(zhuān)用局域網(wǎng)的接入點(diǎn))處時(shí)�����,系統(tǒng)設(shè)備105可以加入包括系統(tǒng)設(shè)備120�、125��、130、140的專(zhuān)用網(wǎng)110���。在其他實(shí)例中�����,例如當(dāng)系統(tǒng)設(shè)備105的用戶在工作����、在大學(xué)���、或具有由另一組織控制的網(wǎng)絡(luò)的另一環(huán)境中時(shí)�,系統(tǒng)設(shè)備105可以被包括在該網(wǎng)絡(luò)(例如企業(yè)網(wǎng)115)中。該第二網(wǎng)絡(luò)115也可以包括多個(gè)各種系統(tǒng)設(shè)備,所述多個(gè)各種系統(tǒng)設(shè)備包括其他個(gè)人計(jì)算設(shè)備(例如���,145�����、165)����、計(jì)算外圍設(shè)備(例如���,打印機(jī)150)���、企業(yè)服務(wù)器(例如��,155),以及其他潛在的系統(tǒng)設(shè)備����。
[0011]網(wǎng)絡(luò)110���、115或域中的每一個(gè)可以包括各自的管理系統(tǒng)170�����、175����,每一個(gè)管理系統(tǒng)170�、175包括用于識(shí)別與網(wǎng)絡(luò)對(duì)接的系統(tǒng)設(shè)備的基于硬件的管理控制器的功能�。管理系統(tǒng)170���、175可以另外地與系統(tǒng)設(shè)備(例如105)的管理控制器對(duì)接和通信,以利用管理控制器108為系統(tǒng)設(shè)備105或在該系統(tǒng)設(shè)備105上執(zhí)行設(shè)備管理任務(wù)���。在一些實(shí)現(xiàn)中����,管理控制器(例如,108)可以在系統(tǒng)設(shè)備105的母板或芯片集上存在��,并且在獨(dú)立于系統(tǒng)設(shè)備105的中央處理單元(CPU)(以及任何操作系統(tǒng))的微控制器或?qū)S锰幚砥魃蠈?shí)施�。從而�,管理系統(tǒng)170、175可以通過(guò)管理控制器108來(lái)訪問(wèn)系統(tǒng)設(shè)備105的至少一些數(shù)據(jù)和控制�,并通過(guò)信任的、基于硬件的控制器108來(lái)執(zhí)行系統(tǒng)設(shè)備105的任務(wù)和掃描�����。
[0012]在一些實(shí)例中��,管理系統(tǒng)170��、175可以提供適用于允許系統(tǒng)設(shè)備105的管理控制器與管理服務(wù)器170�����、175對(duì)接并接收和響應(yīng)管理服務(wù)器170、175的指令和請(qǐng)求�����。例如,管理系統(tǒng)可以提供系統(tǒng)安全相關(guān)的API���,其中管理服務(wù)器170����、175通過(guò)系統(tǒng)設(shè)備的管理控制器為網(wǎng)絡(luò)110���、115執(zhí)行安全相關(guān)的任務(wù)。此外���,系統(tǒng)設(shè)備的管理控制器(例如��,108)可以將系統(tǒng)設(shè)備中的API暴露到管理系統(tǒng)(例如��,170���、175)。這樣的API使用系統(tǒng)設(shè)備的基于硬件的管理控制器與相應(yīng)域的管理系統(tǒng)之間的、基于硬件的通信信道�����。這樣的通信信道可能是安全的通信信道,例如經(jīng)由加密而被保護(hù)的�。另外,API可以基于具有管理系統(tǒng)的管理控制器和/或具有管理控制器的管理系統(tǒng)的認(rèn)證�。在一些實(shí)現(xiàn)中,對(duì)管理控制器的認(rèn)證可以基于從基于硬件的管理控制器的專(zhuān)用數(shù)據(jù)導(dǎo)出的、系統(tǒng)設(shè)備的安全標(biāo)識(shí)符���。例如��,可以根據(jù) 2012 年 12 月 23 日提交的���、名稱(chēng)為 “Hardware-Based Device Authenticat1n” 的美國(guó)專(zhuān)利申請(qǐng)13/726140以及2012年12月23日提交的、名稱(chēng)為“Hardware-Based DeviceAuthenticat1n”的美國(guó)專(zhuān)利申請(qǐng)13/726148��、和/或2012年12月23日提交的�、名稱(chēng)為“Trusted Container”的美國(guó)專(zhuān)利申請(qǐng)13/726167中描述的原理,通過(guò)引用方式將其整體分別并入本文����。
[0013]通常,在示例性的計(jì)算環(huán)境100中�����,“服務(wù)器”����、“客戶端”�、“計(jì)算設(shè)備”、“網(wǎng)絡(luò)元素”�、“主機(jī)”、“系統(tǒng)類(lèi)型的系統(tǒng)實(shí)體”以及“系統(tǒng)”(例如�,105、120����、125、130���、140�、145���、150��、155����、165,170,175等)可以包括可以操作為接收���、發(fā)送��、處理��、存儲(chǔ)����、或管理與計(jì)算環(huán)境100相關(guān)聯(lián)的數(shù)據(jù)和信息的電子計(jì)算設(shè)備。如在本文檔中所使用的�����,詞語(yǔ)“計(jì)算機(jī)”����、“處理器”、“處理器設(shè)備”����、或“處理設(shè)備”旨在包含任何適當(dāng)?shù)奶幚碓O(shè)備。例如��,被示出為計(jì)算環(huán)境100中的單個(gè)設(shè)備的元素可以使用多個(gè)計(jì)算設(shè)備和處理器來(lái)實(shí)現(xiàn)�,例如包括多個(gè)服務(wù)器計(jì)算機(jī)的服務(wù)器池。此外���,計(jì)算設(shè)備中的任何計(jì)算設(shè)備���、全部計(jì)算設(shè)備�、或一些計(jì)算設(shè)備可以適用于執(zhí)行任何操作系統(tǒng)�����,所述操作系統(tǒng)包括Linux�、UNIX�、微軟Windows、蘋(píng)果OS��、蘋(píng)果1S�、谷歌安卓、Windows服務(wù)器等�,以及適用于虛擬化特定操作系統(tǒng)(包括定制的和專(zhuān)有的操作系統(tǒng))的執(zhí)行的虛擬機(jī)。
[0014]此外�,除了其他的特征和硬件之外,服務(wù)器���、客戶端�、網(wǎng)絡(luò)元件�����、系統(tǒng)和計(jì)算設(shè)備(例如,105���、120����、125�����、130��、140��、145�����、150�、155、165���、170�、175 等)可以各自包括一個(gè)或多個(gè)處理器、計(jì)算機(jī)可讀存儲(chǔ)器�����、以及一個(gè)或多個(gè)接口�。服務(wù)器可以包括任何適當(dāng)?shù)能浖M件或模塊,或能夠托管(hosting)和/或提供軟件應(yīng)用和服務(wù)的計(jì)算設(shè)備(例如����,管理系統(tǒng)170、175��、服務(wù)器155的服務(wù)和應(yīng)用等)�,所述軟件應(yīng)用和服務(wù)包括分布式的���、企業(yè)的�、或基于云的軟件應(yīng)用�����、數(shù)據(jù)和服務(wù)�����。例如,在一些實(shí)現(xiàn)中����,管理系統(tǒng)服務(wù)器170、175或計(jì)算機(jī)系統(tǒng)100的其他子系統(tǒng)可以是云實(shí)現(xiàn)的系統(tǒng)���,其被配置成遠(yuǎn)程地托管���、服務(wù)或管理與系統(tǒng)100中的其他服務(wù)和設(shè)備對(duì)接、協(xié)調(diào)�����、基于系統(tǒng)100中的其他服務(wù)和設(shè)備�����、由系統(tǒng)100中的其他服務(wù)和設(shè)備使用的數(shù)據(jù)��、軟件服務(wù)和應(yīng)用�。在一些實(shí)例中,服務(wù)器��、系統(tǒng)��、子系統(tǒng)、或計(jì)算設(shè)備可以實(shí)現(xiàn)為可以在常見(jiàn)的計(jì)算系統(tǒng)���、服務(wù)器�、服務(wù)器池����、或云計(jì)算環(huán)境以及共享計(jì)算資源(包括共享的存儲(chǔ)器、處理器和接口)上托管的設(shè)備的某一組合�。
[0015]用戶、端點(diǎn)���、或客戶端計(jì)算設(shè)備(例如�����,105、130�、145、165等)可以包括傳統(tǒng)的和移動(dòng)的計(jì)算設(shè)備�����,所述傳統(tǒng)的和移動(dòng)的計(jì)算設(shè)備包括個(gè)人計(jì)算機(jī)����、膝上型計(jì)算機(jī)��、平板計(jì)算機(jī)�、智能電話��、個(gè)人數(shù)字助理�、功能手機(jī)、手持視頻游戲操縱桿����、臺(tái)式計(jì)算機(jī)、具有互聯(lián)網(wǎng)功能的電視���、以及設(shè)計(jì)成與人類(lèi)用戶對(duì)接且能夠通過(guò)一個(gè)或多個(gè)網(wǎng)絡(luò)(例如�����,110���、115)與其他設(shè)備通信的其他設(shè)備。計(jì)算機(jī)輔助的���,或“智能的”裝置可以包括家庭的和工業(yè)的設(shè)備和機(jī)器����,所述家庭的和工業(yè)的設(shè)備和機(jī)器包括計(jì)算機(jī)處理器、其他硬件����、和/或由計(jì)算機(jī)處理器執(zhí)行的一個(gè)或多個(gè)軟件程序,所述家庭的和工業(yè)的設(shè)備和機(jī)器由計(jì)算機(jī)處理器控制���、監(jiān)視�、輔助����、補(bǔ)充,或者增強(qiáng)設(shè)備的功能��。計(jì)算機(jī)輔助的裝置可以包括各種各樣的計(jì)算機(jī)輔助的機(jī)器和產(chǎn)品�,包括冰箱、洗衣機(jī)�����、汽車(chē)��、HVAC系統(tǒng)�、工業(yè)機(jī)械、烤箱��、安全系統(tǒng)等����。
[0016]用戶計(jì)算設(shè)備、計(jì)算機(jī)輔助的裝置���、服務(wù)器��、以及計(jì)算設(shè)備(例如�����,105�����、120�����、125����、130、140��、145�、150、155��、165�、170、175等)的屬性通?����?梢詮脑O(shè)備到設(shè)備很大地變化���,所述屬性包括相應(yīng)的操作系統(tǒng)和所加載的����、安裝的���、執(zhí)行的��、操作的、或?qū)γ總€(gè)設(shè)備來(lái)說(shuō)可訪問(wèn)的軟件集合。例如���,計(jì)算設(shè)備可以運(yùn)行�����、執(zhí)行����、已經(jīng)安裝有�����、或包括各種程序集�,所述程序集包括以下各項(xiàng)的各種組合:能夠由各自的設(shè)備來(lái)運(yùn)行、執(zhí)行����、或使用的操作系統(tǒng)、應(yīng)用��、插件����、小程序����、虛擬機(jī)�、機(jī)器圖像、驅(qū)動(dòng)器����、可執(zhí)行文件、和其他基于軟件的程序�����。
[0017]一些系統(tǒng)設(shè)備還可以包括由系統(tǒng)設(shè)備的計(jì)算機(jī)處理器所支持的至少一個(gè)圖形顯示設(shè)備和用戶接口�����,其允許用戶觀看系統(tǒng)100中提供的應(yīng)用和其他程序的圖形用戶接口并與其進(jìn)行交互���,所述圖形顯示設(shè)備和用戶接口包括與系統(tǒng)設(shè)備中所托管的應(yīng)用進(jìn)行交互的程序的用戶接口和圖形表示�����、以及與管理系統(tǒng)170�、175等相關(guān)聯(lián)的圖形用戶接口��。此外,雖然可以在由一個(gè)用戶使用方面來(lái)描述系統(tǒng)設(shè)備��,但是本公開(kāi)內(nèi)容預(yù)期許多用戶可以使用一個(gè)計(jì)算機(jī)或一個(gè)用戶可以使用多個(gè)計(jì)算機(jī)����。
[0018]雖然圖1被描述為包含多個(gè)元件或與多個(gè)元件相關(guān)聯(lián)����,但是并非圖1的計(jì)算環(huán)境100中所示出的所有元件都可以在本公開(kāi)內(nèi)容的各個(gè)可替代實(shí)現(xiàn)中使用。另外�,結(jié)合圖1中的示例所描述的元件中的一個(gè)或多個(gè)可以位于計(jì)算環(huán)境100的外部,而在其他實(shí)例中���,某些元素可以包含在所描述的一個(gè)或多個(gè)其他元件以及所示出的實(shí)現(xiàn)中未描述的一個(gè)或多個(gè)其他元件中或作為其一部分�����。此外��,圖1中示出的某些元件可以與其他組件組合�����,并且用于除了本文中描述的這些目的之外的可替代目的或另外目的�����。
[0019]檢測(cè)���、識(shí)別���、跟蹤和管理計(jì)算系統(tǒng)中的資產(chǎn)一直是系統(tǒng)管理員面對(duì)的很大的挑戰(zhàn),尤其是當(dāng)其與系統(tǒng)安全相關(guān)時(shí)����。連接到網(wǎng)絡(luò)的單個(gè)未知的、理解不足的�、或監(jiān)視不足的設(shè)備可能潛在地將整個(gè)系統(tǒng)暴露給各種安全威脅和漏洞,所述安全威脅和漏洞包括惡意軟件����、未授權(quán)的數(shù)據(jù)訪問(wèn)、流氓用戶等�����。在一些實(shí)例中����,可以將代理安裝在系統(tǒng)設(shè)備上以輔助管理員獲得系統(tǒng)設(shè)備的屬性的概觀�����,容易地檢測(cè)并與網(wǎng)絡(luò)上的設(shè)備通信���,以及對(duì)系統(tǒng)設(shè)備實(shí)施特定的安全策略。但是����,未管理的設(shè)備(即���,不擁有所安裝的代理的設(shè)備)可能停留在管理系統(tǒng)的通信��、控制和監(jiān)視之外���,所述管理系統(tǒng)被設(shè)計(jì)成啟用設(shè)備間通信和操作、當(dāng)設(shè)備進(jìn)入和離開(kāi)網(wǎng)絡(luò)時(shí)檢測(cè)所述設(shè)備����、對(duì)各種設(shè)備應(yīng)用策略,以及對(duì)網(wǎng)絡(luò)實(shí)施安全���。實(shí)際上�����,考慮到代理會(huì)被與未被管理的設(shè)備有關(guān)的非常缺乏的信息所危害�����,在一些設(shè)備上安裝代理可能是困難的�����。此外�,不同于一般的能夠?qū)⑽垂芾淼脑O(shè)備并入到網(wǎng)絡(luò)中并且使其對(duì)用戶或網(wǎng)絡(luò)有益,在一些實(shí)例中����,可以將未管理的設(shè)備發(fā)送至隔離的或被管理的子網(wǎng)絡(luò),直到該未管理的設(shè)備可以被管理員可以更仔細(xì)地檢查�、安裝了代理、更好地理解等為止�。另外,隨著越來(lái)越多的設(shè)備由于其越來(lái)越多地由計(jì)算處理器來(lái)控制����、包括網(wǎng)絡(luò)通信適配器、且能夠與其他系統(tǒng)通信而變得“智能”,潛在地未管理的設(shè)備的范圍持續(xù)增加�。
[0020]本公開(kāi)內(nèi)容中描述的系統(tǒng)中的至少一些,例如圖1和圖2中的系統(tǒng)�,可以包括在一些情況下克服了上文所討論的缺陷以及本申請(qǐng)中未明確描述的其他缺陷的功能。例如�����,管理系統(tǒng)可以配備有用于與在加入或已經(jīng)在由管理系統(tǒng)所管理的網(wǎng)絡(luò)或域上的系統(tǒng)設(shè)備的芯片集上的�����、基于硬件的管理控制器對(duì)接的功能�。除了其他的功能之外����,